Différences

Ci-dessous, les différences entre deux révisions de la page.

--- 070-experiencesipv6:040-firewall_debase [le 17/03/2025 à 10:56] – [Protéger demoserver] prof
+++ 070-experiencesipv6:040-firewall_debase [le 17/03/2025 à 14:21] (Version actuelle) – [Protéger la délégation] prof
@@ Ligne 82: / Ligne 82: @@
 </pre></html>
 Formidable, ça marche comme prévu!
+==== Protéger la délégation ====
+Au minimum, empêcher les nouvelles connexions entrantes:
+  ip6tables -A FORWARD -i enp1s0 -m state --state RELATED,ESTABLISHED -j ACCEPT
+Accepter toutes les connexions sortantes
+  ip6tables -A FORWARD -i enp7s0 -j ACCEPT
+Et Par défaut:
+  ip6tables -P FORWARD  DROP
+Vérifier que tout fonctionne depuis un client:
+<html><pre class="code">
+<b>ping6 -c1 www.debian.org</b>
+PING www.debian.org(static-mirror-grnet-01.debian.org (2001:648:2ffc:deb:216:61ff:fe2b:6138)) 56 data bytes
+bytes from static-mirror-grnet-01.debian.org (2001:648:2ffc:deb:216:61ff:fe2b:6138): icmp_seq=1 ttl=48 time=65.1 ms
+--- www.debian.org ping statistics ---
+<b>1 packets transmitted, 1 received, 0% packet loss</b>, time 0ms
+</pre></html>
+mais qu'un ping venant de l'extérieur ne puisse pas entrer:
+<html><pre class="code">
+<b>ping6 -c4  2a01:e0a:875:b1d2:5054:ff:feb7:6681</b>
+PING 2a01:e0a:875:b1d2:5054:ff:feb7:6681(2a01:e0a:875:b1d2:5054:ff:feb7:6681) 56 data bytes
+--- 2a01:e0a:875:b1d2:5054:ff:feb7:6681 ping statistics ---
+<b>4 packets transmitted, 0 received, 100% packet loss</b>, time 3063ms
+</pre></html>
+==== Bilan ====
+Nous avons maintenant toute possibilité d'héberger chez soi différents types de services sans passer par du NAT (translation d'adresse) tout en protégeant les hôtes d'agressions basiques. Il faudra cependant qu'à l'autre bout, les clients disposent également d'une connectivité IPv6.